This post is also available in:
English (אנגלית)
קמפיין נוזקה חדש עושה שימוש בפלטפורמת GitHub לצורך הפצה שקטה של כלי גניבת מידע (infostealer) תוך התחזות לשירות חינמית, ומעורר מחדש דאגות באשר לאבטחת פלטפורמות קוד פתוח. הפעילות הזדונית מתמקדת בתוכנה מזויפת בשם "Free VPN for PC", שכאשר מריצים אותה – במקום להציע שירות VPN אמיתי – היא מתקינה את נוזקת Lumma.
חוקרי סייבר מחברת Cyfirma שעקבו אחר הקמפיין מציינים כי סביבת האירוח הפתוחה של GitHub, המשמשת לרוב לשיתוף קוד לגיטימי, נוצלה לשם הפצת המטען הזדוני. הקוד הזדוני הוסתר בתוך מאגרים (repositories) שנראו אמינים, וניצלו את המוניטין של GitHub כדי לזכות באמון המשתמשים. גרסה דומה הועלתה גם בשם אחר הקשור ל-Minecraft בניסיון לפנות לקהלים שונים.
האיום המרכזי הוא Lumma, נוזקת גניבת מידע מוכרת הפועלת מאז 2022. היא מסוגלת לאסוף מגוון רחב של פרטים, כולל סיסמאות שמורות, מידע מהדפדפן, מפתחות לארנקים קריפטוגרפיים, ומטא-דאטא של המערכת. Lumma מופצת במסגרת מודל "נוזקה כשירות" (Malware-as-a-Service – MaaS), בו גורמים זדוניים רוכשים מנוי לשימוש בנוזקה – במחירים שמתחילים בכ-140 דולר לחודש.
GitHub אינה הווקטור היחיד להפצה. Lumma הופצה גם באמצעות אתרי הורדה מזוייפים, סקריפטים שמוסתרים מאחורי בדיקות CAPTCHA ועוד. כל אלו נועדו לפתות משתמשים להפעיל קוד זדוני במסווה של תוכנה תמימה.
הקוד הזדוני תוכנן לפעול באופן חבוי לאחר ההתקנה, ונקשר לתשתית פיקוד ושליטה (C2), שחלקים ממנה הושבתו לאחרונה במסגרת מבצע מתואם בהובלת משרד המשפטים האמריקאי וחברת Microsoft. עם זאת, הפצה פעילה של הנוזקה נמשכת בפלטפורמות רבות.
לשם הגנה מפני איומים דומים, מומלץ למשתמשים להימנע מהורדת תוכנות ממקורות לא מאומתים – במיוחד מדפי GitHub עם פעילות מועטה או מקור לא ברור. כמו כן, חשוב להשתמש בתוכנת אנטי-וירוס עדכנית, להפעיל אימות דו-שלבי, ולעולם לא להריץ פקודות שאינן מוכרות.
קמפיין זה משקף אתגר רחב יותר: גם פלטפורמות פיתוח אמינות עלולות להפוך לכלי הפצה של נוזקות כאשר נעשה בהן שימוש לרעה על ידי גורמים עוינים.
